在我的组织里,围绕着服务账户存在着矛盾的思想stream派。 这是因为他们希望部署SQL Server仅用于运行SharePoint数据库。
一个组织认为,应该为每个服务器应用程序和每个环境(例如生产,UAT /testing,开发)使用不同的服务帐户。 所以在这个例子中,每个安装SharePoint的SQL Server都有自己的prod,UAT和dev服务帐户。 他们的理由是安全的,防止环境之间的干扰。
另一位认为,服务帐户应该在生产和testing环境之间共享。 所以对于这个例子,在prod,UAT和dev之间将会有一个SQL Server服务帐号。 (我不确定在不同的服务器应用程序之间共享这个帐户)。他们的原因是安全性,因为有更less的密码来改变和降低复杂性。
考虑到安全性,正常运行时间和可靠性,防止错误,风险pipe理等等,应该推荐什么方法?
谢谢!
我们遵循第一组,每个环境和服务器应用程序有一个单独的服务帐户。
主要原因是安全性,但另一个好的理由是,如果在testing或开发过程中正在进行一些工作,而这需要改变安全性,那么您知道它不会以任何方式影响生产环境。
通过一切手段让您的开发和UAT /testing环境共享相同的服务帐户。 但保持生产分开。 除了其他答案中已经强调的变更pipe理问题之外,开发和testing人员在正常情况下不应该有任何访问生产系统的业务。
当然,安全问题往往会导致您每个应用程序/服务的一个帐户。 但是,我不认为你需要去推动不同的帐户,UAT&开发的水平。 这将意味着configuration将不得不改变,当你部署应用程序,这可能是一个错误的来源。
编辑:我刚刚看到布拉瓦克斯的答案,他提出了一个有效的观点,改变开发账户不影响现场系统。